加密流量如何防护？安全可视化消除盲点

　　随着SSL/TLS技术的发展，越来越多的系统应用，以加密技术保障自身的持续稳定运行，以及应用数据的安全性。

　　注：SSL/TLS是一种密码通信框架，是世界上使用最广泛的密码通信方法。

　　但加密流量同时也引发了安全威胁的加剧，权威测评机构ESG实验室的调研报告显示，超过95%的企业明确表示遭遇过由加密流量引起的安全事件。这是因为安全设备无法监测加密流量内容，无法区分加密流量中是否包含恶意流量。

　　无论传统安全解决方案选择解密审计还是不解密，都存在着限制：

　　解密审计

　　• 多个安全设备逐一解密，导致设备性能骤降。

　　• 多个安全设备逐一解密，导致网络传输时延增加。

　　不解密

　　• 安全设备不支持解密，安全监测存在盲点。

　　• 基于性能考虑不解密，安全监测存在盲点。

　　解决方案

　　针对加密流量的安全防护难题，安博通推出了“天枢”安全服务链控制器，融合自研多年的虚拟化技术及安全能力，将物理和虚拟设备，底层抽象为安全资源池中的“资源”，顶层通过软件编程方式进行统一管理、应用编排与流量调度。将分散的安全能力按需调配、串联成链，从而实现灵活的安全防护。

　　加密流量防护流程

　　1、网络设备与安全设备解耦，安全能力通过“天枢”链接到网络。

　　2、将SSL证书导入“天枢”的SSL解密网关，对加密流量集中解密。

　　3、按照业务类型及安全防护需求，编排相应的安全服务链，例如：

　　a. 将明文流量镜像至安全分析设备，包括APT检测设备、沙箱等。

　　b. 将WEB业务流量调度至IPS、WAF等安全设备，进行安全监测。

　　c. 将数据库业务流量调度至数据库审计、数据脱敏等安全设备，进行安全监测。

　　4、安全设备将处理完的业务流量转发至“天枢”，“天枢”再将流量加密，转发至下一跳设备。

　　方案价值

　　安博通“天枢”安全服务链控制器可以实现：

　　• 对加密流量实现流量可视、内容可审计、风险可控制，消除安全监测和防护的盲点。

　　• 对架构进行解耦，安全设备的部署与变更 更加灵活，大幅降低网络变更对业务流量连续性的影响。

　　• 加密流量集中卸载，降低各类设备的性能消耗;减少业务流量在网络中的传输时延，业务访问更快捷。

　　“天枢”在防护过程中，可做到客户端、服务端无感，消除安全监控盲区，降低安全设备性能消耗和传输延时。在复杂的加密流量环境下，保护企业机构的网络安全和数字资产。